ISO 27001:2022 Liite A 7.2 korostaa organisaatioiden vaatimusta turvata alueet käyttämällä sopivia sisäänpääsyn valvontalaitteita ja pääsypisteitä.
Sisäänkäyntien valvonta ja sisäänkäyntipisteet ovat tärkeitä minkä tahansa rakennuksen turvajärjestelmälle. Niiden avulla matkustajat pääsevät sisään ja poistumaan turvallisuuden säilyttäen, ja voivat estää niitä, joilla ei ole lupaa tai haluttua pääsyä sisään.
Sisäänkäynnin valvontajärjestelmät tarjoavat pääsyn rakennukseen ovien ja porttien kautta, mukaan lukien näppäimistöt, kortinlukijat, biometriset skannerit ja kaukosäätimet. Lisäksi ne tarjoavat lukitusmekanismit oville ja porteille, kääntöporttien ja pyöröovien lisäksi.
Tukiasema on elektroninen laite, joka varmistaa turvallisuuden suurissa liikerakennuksissa. Se hyödyntää RFID-tekniikkaa kaiken liikkeen seuraamiseen tiloissa ja sieltä ulos. Tukiasema lähettää tiedot takaisin päämajaan, jolloin turvahenkilöstö voi tarkkailla, milloin joku saapuu laitokseen tai poistuu sieltä ja mihin alueisiin he pääsevät oleskelunsa aikana.
Varaa 30 minuutin chat kanssamme, niin näytämme sinulle kuinka
ISO 27001:2022 liite A Valvonta 7.2 takaa vain luvan fyysisen pääsyn organisaation tietoihin ja muuhun asiaan liittyvään omaisuuteen.
Fyysinen turvallisuus on ensiarvoisen tärkeää tietoresurssien luottamuksellisuuden, eheyden ja saavutettavuuden turvaamiseksi. Liite A Valvonta 7.2 of ISO 27001: 2022 keskittyy ensisijaisesti tietojen ja muiden niihin liittyvien varojen suojaamiseen luvattomalta käytöltä, varkaudelta tai katoamiselta. Tarvittavat sisääntulo- ja pääsypisteet olisi siis otettava käyttöön sen varmistamiseksi, että vain valtuutetut henkilöt pääsevät sisään turvallisia alueita.
Valvontatoimenpiteitä olisi toteutettava sen varmistamiseksi, että vain valtuutetuilla henkilöillä on fyysinen pääsy ja että heidät tunnistetaan tarkasti.
Lukkojen, avainten (manuaaliset ja elektroniset), vartijoiden, valvontajärjestelmien ja muiden esteiden käyttö sisäänkäynnissä ja sisäänkäynnissä tulisi ottaa käyttöön. Kulunvalvontajärjestelmiä, kuten salasanoja, korttiavaimia tai biometrisiä laitteita, tulisi käyttää laitoksen herkkien alueiden suojaamiseen.
Organisaatioiden tulee valvoa ja mahdollisuuksien mukaan erottaa pääsypisteet, kuten toimitus- ja lastausvyöhykkeet sekä muut sisäänpääsypisteet tiloihin tietojärjestelmistään luvattoman pääsyn estämiseksi, täyttääkseen liitteen A 7.2 täytäntöönpanon vaatimukset. Nämä alueet tulisi rajoittaa vain valtuutetun henkilöstön käyttöön.
ISO 27001:2022 -dokumentti sisältää käyttöönotto-ohjeet liitteeseen A 7.2, joka auttaa täyttämään henkilöstöä, vierailijoita ja jakeluhenkilöitä koskevat vaatimukset. Voit tarkastella näitä ohjeita siirtymällä standardin tarkistettuun versioon.
Standardin ISO 7.2:27001 liite A 2022 ei ole uusi toimenpide, vaan pikemminkin yhdistelmä ISO 11.1.2:11.1.6:n liitteen A ohjausobjekteja 27001 ja 2013. Nämä kaksi liitteen A valvontaa on tarkistettu ISO 27001:2022:ssa tehdä siitä intuitiivisempi kuin ISO 27001:2013.
Liite A Valvonta 11.1.2 – Fyysinen sisäänpääsyn valvonta edellyttää, että turvalliset alueet on suojattava asianmukaisilla sisäänpääsyn valvonnalla, jotta vain valtuutetut henkilöt pääsevät sisään. Tässä standardin osassa kuvataan toimenpiteitä, joita organisaatiot voivat toteuttaa varmistaakseen, että vain luvan saaneet pääsevät sisään tiettyä tarkoitusta varten.
Säännös edellyttää, että valtuutettujen henkilöiden pääsy tietoturva-arkaluontoisille alueille edellyttää kaksivaiheista todennusta, jota tukevat fyysinen lokikirja tai sähköinen kirjausketju.
Liite A Valvonta 11.1.6 – Toimitus- ja lastausalueet edellyttävät, että pääsy näille alueille on rajoitettava vain valtuutetuille henkilöille. Ne on suositeltavaa suunnitella siten, että ne on erotettu käyttöalueista, jolloin toimitushenkilöstö ei pääse rakennuksen muihin osiin.
Lopulta liitteen A valvonta 7.2 ja liitteen A hallintalaitteet 11.1.2 ja 11.1.6 ovat olennaisesti vertailukelpoisia. Suurin ero on, että liite A 11.1.2 ja liite A 11.1.6 yhdistettiin käyttäjäystävällisyyden parantamiseksi.
Vuoden 2022 ISO 27001 -versioon sisältyi attribuuttitaulukko ja ohjaustarkoitus, jotka puuttuivat vuoden 2013 version ohjauksista.
Alla olevasta taulukosta löydät lisätietoja jokaisesta yksittäisestä ISO 27001:2022 liitteen A valvonnasta.
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Organisaation valvonta | Liite A 5.1 | Liite A 5.1.1 Liite A 5.1.2 | Tietoturvakäytännöt |
| Organisaation valvonta | Liite A 5.2 | Liite A 6.1.1 | Tietoturvan roolit ja vastuut |
| Organisaation valvonta | Liite A 5.3 | Liite A 6.1.2 | Tehtävien erottelu |
| Organisaation valvonta | Liite A 5.4 | Liite A 7.2.1 | Johtamisvastuut |
| Organisaation valvonta | Liite A 5.5 | Liite A 6.1.3 | Ota yhteyttä viranomaisiin |
| Organisaation valvonta | Liite A 5.6 | Liite A 6.1.4 | Ota yhteyttä erityisiin eturyhmiin |
| Organisaation valvonta | Liite A 5.7 | UUSI | Threat Intelligence |
| Organisaation valvonta | Liite A 5.8 | Liite A 6.1.5 Liite A 14.1.1 | Tietoturva projektinhallinnassa |
| Organisaation valvonta | Liite A 5.9 | Liite A 8.1.1 Liite A 8.1.2 | Tietojen ja muiden niihin liittyvien omaisuuserien luettelo |
| Organisaation valvonta | Liite A 5.10 | Liite A 8.1.3 Liite A 8.2.3 | Tietojen ja muiden niihin liittyvien omaisuuserien hyväksyttävä käyttö |
| Organisaation valvonta | Liite A 5.11 | Liite A 8.1.4 | Omaisuuden palautus |
| Organisaation valvonta | Liite A 5.12 | Liite A 8.2.1 | Tietojen luokitus |
| Organisaation valvonta | Liite A 5.13 | Liite A 8.2.2 | Tietojen merkitseminen |
| Organisaation valvonta | Liite A 5.14 | Liite A 13.2.1 Liite A 13.2.2 Liite A 13.2.3 | Tietojen siirto |
| Organisaation valvonta | Liite A 5.15 | Liite A 9.1.1 Liite A 9.1.2 | Kulunvalvonta |
| Organisaation valvonta | Liite A 5.16 | Liite A 9.2.1 | Identity Management |
| Organisaation valvonta | Liite A 5.17 | Liite A 9.2.4 Liite A 9.3.1 Liite A 9.4.3 | Todennustiedot |
| Organisaation valvonta | Liite A 5.18 | Liite A 9.2.2 Liite A 9.2.5 Liite A 9.2.6 | Käyttöoikeudet |
| Organisaation valvonta | Liite A 5.19 | Liite A 15.1.1 | Tietoturva toimittajasuhteissa |
| Organisaation valvonta | Liite A 5.20 | Liite A 15.1.2 | Tietoturvasta huolehtiminen toimittajasopimusten puitteissa |
| Organisaation valvonta | Liite A 5.21 | Liite A 15.1.3 | Tietoturvan hallinta ICT:n toimitusketjussa |
| Organisaation valvonta | Liite A 5.22 | Liite A 15.2.1 Liite A 15.2.2 | Toimittajapalveluiden seuranta, tarkistus ja muutosten hallinta |
| Organisaation valvonta | Liite A 5.23 | UUSI | Tietoturva pilvipalveluiden käyttöön |
| Organisaation valvonta | Liite A 5.24 | Liite A 16.1.1 | Tietoturvahäiriöiden hallinnan suunnittelu ja valmistelu |
| Organisaation valvonta | Liite A 5.25 | Liite A 16.1.4 | Tietoturvatapahtumien arviointi ja päätös |
| Organisaation valvonta | Liite A 5.26 | Liite A 16.1.5 | Vastaus tietoturvaloukkauksiin |
| Organisaation valvonta | Liite A 5.27 | Liite A 16.1.6 | Tietoturvahäiriöistä oppimista |
| Organisaation valvonta | Liite A 5.28 | Liite A 16.1.7 | Todisteiden kerääminen |
| Organisaation valvonta | Liite A 5.29 | Liite A 17.1.1 Liite A 17.1.2 Liite A 17.1.3 | Tietoturva häiriön aikana |
| Organisaation valvonta | Liite A 5.30 | UUSI | ICT-valmius liiketoiminnan jatkuvuutta varten |
| Organisaation valvonta | Liite A 5.31 | Liite A 18.1.1 Liite A 18.1.5 | Oikeudelliset, lakisääteiset, sääntely- ja sopimusvaatimukset |
| Organisaation valvonta | Liite A 5.32 | Liite A 18.1.2 | Immateriaalioikeudet |
| Organisaation valvonta | Liite A 5.33 | Liite A 18.1.3 | Tietueiden suojaus |
| Organisaation valvonta | Liite A 5.34 | Liite A 18.1.4 | Yksityisyys ja henkilötietojen suoja |
| Organisaation valvonta | Liite A 5.35 | Liite A 18.2.1 | Tietoturvan riippumaton katsaus |
| Organisaation valvonta | Liite A 5.36 | Liite A 18.2.2 Liite A 18.2.3 | Tietoturvakäytäntöjen, -sääntöjen ja -standardien noudattaminen |
| Organisaation valvonta | Liite A 5.37 | Liite A 12.1.1 | Dokumentoidut toimintaohjeet |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Ihmisten ohjaukset | Liite A 6.1 | Liite A 7.1.1 | Seulonta |
| Ihmisten ohjaukset | Liite A 6.2 | Liite A 7.1.2 | Palvelussuhteen ehdot |
| Ihmisten ohjaukset | Liite A 6.3 | Liite A 7.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| Ihmisten ohjaukset | Liite A 6.4 | Liite A 7.2.3 | Kurinpitoprosessi |
| Ihmisten ohjaukset | Liite A 6.5 | Liite A 7.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| Ihmisten ohjaukset | Liite A 6.6 | Liite A 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| Ihmisten ohjaukset | Liite A 6.7 | Liite A 6.2.2 | Etätyö |
| Ihmisten ohjaukset | Liite A 6.8 | Liite A 16.1.2 Liite A 16.1.3 | Tietoturvatapahtumien raportointi |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Fyysiset säätimet | Liite A 7.1 | Liite A 11.1.1 | Fyysisen turvallisuuden rajat |
| Fyysiset säätimet | Liite A 7.2 | Liite A 11.1.2 Liite A 11.1.6 | Fyysinen sisäänpääsy |
| Fyysiset säätimet | Liite A 7.3 | Liite A 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| Fyysiset säätimet | Liite A 7.4 | UUSI | Fyysisen turvallisuuden valvonta |
| Fyysiset säätimet | Liite A 7.5 | Liite A 11.1.4 | Fyysisiltä ja ympäristöuhkilta suojautuminen |
| Fyysiset säätimet | Liite A 7.6 | Liite A 11.1.5 | Työskentely turvallisilla alueilla |
| Fyysiset säätimet | Liite A 7.7 | Liite A 11.2.9 | Selkeä työpöytä ja selkeä näyttö |
| Fyysiset säätimet | Liite A 7.8 | Liite A 11.2.1 | Laitteiden sijoitus ja suojaus |
| Fyysiset säätimet | Liite A 7.9 | Liite A 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| Fyysiset säätimet | Liite A 7.10 | Liite A 8.3.1 Liite A 8.3.2 Liite A 8.3.3 Liite A 11.2.5 | Tallennusväline |
| Fyysiset säätimet | Liite A 7.11 | Liite A 11.2.2 | Apuohjelmat |
| Fyysiset säätimet | Liite A 7.12 | Liite A 11.2.3 | Kaapeloinnin turvallisuus |
| Fyysiset säätimet | Liite A 7.13 | Liite A 11.2.4 | Laitteiden huolto |
| Fyysiset säätimet | Liite A 7.14 | Liite A 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Tekniset säädöt | Liite A 8.1 | Liite A 6.2.1 Liite A 11.2.8 | Käyttäjän päätelaitteet |
| Tekniset säädöt | Liite A 8.2 | Liite A 9.2.3 | Etuoikeutetut käyttöoikeudet |
| Tekniset säädöt | Liite A 8.3 | Liite A 9.4.1 | Tietoihin pääsyn rajoitus |
| Tekniset säädöt | Liite A 8.4 | Liite A 9.4.5 | Pääsy lähdekoodiin |
| Tekniset säädöt | Liite A 8.5 | Liite A 9.4.2 | Suojattu todennus |
| Tekniset säädöt | Liite A 8.6 | Liite A 12.1.3 | Kapasiteetin hallinta |
| Tekniset säädöt | Liite A 8.7 | Liite A 12.2.1 | Suojaus haittaohjelmia vastaan |
| Tekniset säädöt | Liite A 8.8 | Liite A 12.6.1 Liite A 18.2.3 | Teknisten haavoittuvuuksien hallinta |
| Tekniset säädöt | Liite A 8.9 | UUSI | Configuration Management |
| Tekniset säädöt | Liite A 8.10 | UUSI | Tietojen poistaminen |
| Tekniset säädöt | Liite A 8.11 | UUSI | Tietojen peittäminen |
| Tekniset säädöt | Liite A 8.12 | UUSI | Tietovuotojen esto |
| Tekniset säädöt | Liite A 8.13 | Liite A 12.3.1 | Tietojen varmuuskopiointi |
| Tekniset säädöt | Liite A 8.14 | Liite A 17.2.1 | Tietojenkäsittelylaitteiden redundanssi |
| Tekniset säädöt | Liite A 8.15 | Liite A 12.4.1 Liite A 12.4.2 Liite A 12.4.3 | Hakkuu |
| Tekniset säädöt | Liite A 8.16 | UUSI | Seurantatoiminnot |
| Tekniset säädöt | Liite A 8.17 | Liite A 12.4.4 | Kellon synkronointi |
| Tekniset säädöt | Liite A 8.18 | Liite A 9.4.4 | Etuoikeutettujen apuohjelmien käyttö |
| Tekniset säädöt | Liite A 8.19 | Liite A 12.5.1 Liite A 12.6.2 | Ohjelmistojen asennus käyttöjärjestelmiin |
| Tekniset säädöt | Liite A 8.20 | Liite A 13.1.1 | Verkkoturvallisuus |
| Tekniset säädöt | Liite A 8.21 | Liite A 13.1.2 | Verkkopalveluiden turvallisuus |
| Tekniset säädöt | Liite A 8.22 | Liite A 13.1.3 | Verkkojen erottelu |
| Tekniset säädöt | Liite A 8.23 | UUSI | Web-suodatus |
| Tekniset säädöt | Liite A 8.24 | Liite A 10.1.1 Liite A 10.1.2 | Kryptografian käyttö |
| Tekniset säädöt | Liite A 8.25 | Liite A 14.2.1 | Turvallisen kehityksen elinkaari |
| Tekniset säädöt | Liite A 8.26 | Liite A 14.1.2 Liite A 14.1.3 | Sovelluksen suojausvaatimukset |
| Tekniset säädöt | Liite A 8.27 | Liite A 14.2.5 | Turvallisen järjestelmän arkkitehtuuri ja suunnitteluperiaatteet |
| Tekniset säädöt | Liite A 8.28 | UUSI | Turvallinen koodaus |
| Tekniset säädöt | Liite A 8.29 | Liite A 14.2.8 Liite A 14.2.9 | Tietoturvatestaus kehitys- ja hyväksymisvaiheessa |
| Tekniset säädöt | Liite A 8.30 | Liite A 14.2.7 | Ulkoistettu kehitys |
| Tekniset säädöt | Liite A 8.31 | Liite A 12.1.4 Liite A 14.2.6 | Kehitys-, testaus- ja tuotantoympäristöjen erottaminen toisistaan |
| Tekniset säädöt | Liite A 8.32 | Liite A 12.1.2 Liite A 14.2.2 Liite A 14.2.3 Liite A 14.2.4 | Muutoksen hallinta |
| Tekniset säädöt | Liite A 8.33 | Liite A 14.3.1 | Testitiedot |
| Tekniset säädöt | Liite A 8.34 | Liite A 12.7.1 | Tietojärjestelmien suojaus tarkastustestauksen aikana |
Fyysisen pääsyn hallinta on ensiarvoisen tärkeää minkä tahansa organisaation tai yrityksen turvallisuuden kannalta. On tärkeää varmistaa, että asiattomat henkilöt eivät pääse tiloihin. Tästä syystä tiukkojen toimenpiteiden toteuttaminen on välttämätöntä.
Turvallisuusosasto valvoo kaikkia fyysisiä turvallisuusnäkökohtia, kuten sisäänpääsyn valvontaa. Jos heillä ei ole tarvittavaa asiantuntemusta tai resursseja tämän hoitamiseen, he voivat antaa valtuudet toiselle osastolle.
IT-tiimit ovat tärkeitä myös fyysisen turvallisuuden kannalta. Ne takaavat, että fyysiseen turvallisuuteen käytettävät teknologiajärjestelmät ovat ajan tasalla ja turvallisia. Esimerkiksi, jos organisaatiossasi on sisäänkäynnissä tunkeutumisen havainnointijärjestelmä (IDS), mutta ohjelmistoa ei ole uusittu kuukausiin, se ei välttämättä ole tehokas tunkeilijoita vastaan.
Organisaatiosi ei tarvitse muuttaa tietoturvakäytäntöjään merkittävästi, sillä ISO 27001:2022 uudistettua standardia muutettiin vain vähän.
Jos sinulla on ISO 27001:2013 -sertifikaatti, huomaat, että nykyinen tietoturvan hallintatapasi on uusien standardien mukainen.
Jos aloitat alusta, sinun tulee tutustua uuden standardin noudattamisohjeisiin.
Meidän alustamme antaa käyttäjille pääsyn kaikkiin asiaankuuluviin asiakirjoihin ja resursseihin, kuten käytäntöihin, menettelyihin, standardeihin, ohjeisiin ja vaatimustenmukaisuusprosesseja koskeviin tietoihin.
ISMS.online on täydellinen yrityksille, jotka haluavat:
Alustamme tarjoaa mukautettuja kojetauluja, jotka antavat sinulle reaaliaikaisen käsityksen vaatimustenmukaisuudestasi.
Valvo ja hallitse ISO 27001:2022 -vaatimustenmukaisuuspolkuasi yhdestä paikasta: auditoinnit, puuteanalyysit, koulutuksen hallinta, riskinarviointi ja paljon muuta.
Ota meihin yhteyttä nyt järjestää esittelyn.
Olen suorittanut ISO 27001:n kovalla tavalla, joten arvostan todella sitä, kuinka paljon aikaa säästyimme ISO 27001 -sertifikaatin saavuttamisessa.
